Dass Mitarbeiter auf das Datengeheimnis verpflichtet werden, ist mittlerweile Standard in vielen Unternehmen. Aber müssen Sie als Unternehmenslenker diese Praxis ab Geltung der DSGVO beibehalten? Wie sollten Verpflichtungserklärungen zukünftig aussehen? Und müssen Sie alle Mitarbeiter neu verpflichten? Wir erläutern Ihnen die wichtigsten Fragen zum Datengeheimnis nach der DSGVO.

Bis zur Geltung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 müssen Unternehmen aufgrund des § 5 BDSG Beschäftigte auf das Datengeheimnis verpflichten. Hierzu kann ein Formular der Bundesdatenschutzbeauftragten genutzt werden.

Datengeheimnis und DSGVO
Weder in der DSGVO noch im neuen BDSG (gilt ebenfalls ab dem 25. Mai 2018) ist explizit geregelt, dass Unternehmen zukünftig ihre Mitarbeiter auf das Datengeheimnis verpflichten müssen. Zwar regelt § 53 BDSG-neu das Datengeheimnis, allerdings betrifft diese Norm nur die Strafverfolgung.

Dennoch bietet es sich an, Mitarbeiter weiterhin auf das Datengeheimnis zu verpflichten, denn die rechtswidrige Verarbeitung personenbezogener Daten bleibt unzulässig. Anstelle des Begriffs „Datengeheimnis“ sollte allerdings der Ausdruck „Vertraulichkeit der Daten“ genutzt werden, da dies der gesetzlichen Terminologie entspricht.

Die juristische Begründung hierfür stellt sich wie folgt dar: Personenbezogene Daten müssen auf rechtmäßige Weise (Art. 5 Abs. 1 lit. a) DSGVO) und unter Gewährleistung angemessener Sicherheit verarbeitet werden (Art. 5 Abs. 1 lit. f) DSGVO). Dies muss gemäß Art. 32 Abs. 4 und Art. 29 DSGVO auch dadurch erfolgen, dass Mitarbeiter die personenbezogenen Daten nur auf Anweisung verarbeiten. All diese Anforderungen muss ein Unternehmen im Streitfall nachweisen können (Art. 5 Abs. 2 DSGVO). Ein Mittel hierfür kann die Verpflichtung der Mitarbeiter auf die Vertraulichkeit der Daten sein.

Für Unternehmen, die Daten im Auftrag für ein anderes Unternehmen verarbeiten (z.B. IT-Dienstleister), ist die Verpflichtung auf die Vertraulichkeit der Daten besonders wichtig. Denn sie werden hierzu durch den Vertrag zur Auftragsverarbeitung verpflichtet (Art. 28 Abs. 3 UAbs. 1 Satz 2 lit. b) DSGVO).

Belehrung und Verpflichtungserklärung: Form und Zeitpunkt
Bevor Mitarbeiter die Verpflichtungserklärung unterschreiben, müssen sie über die wesentlichen Aspekte des Datenschutzes aufgeklärt werden, am Besten am ersten Arbeitstag. Das kann Ihr Datenschutzbeauftragter, ein spezialisiertes Beratungsunternehmen oder eine sonstige, mit dem Datenschutzrecht vertraute Person übernehmen. Online-Schulungen sind ebenfalls ein probates Mittel.

Hinsichtlich der Form der Verpflichtungserklärung trifft die DSGVO keine Vorgaben. Sie können diese schriftlich oder elektronisch einholen. Sie sollten aber darauf achten, dass die Erklärung Ihrer Mitarbeiter ausreichend dokumentiert ist – die Beweislast trifft im Zweifel Sie.

Bleiben die Alt-Verpflichtungen wirksam?
Diese Frage ist nicht einfach zu beantworten. Denn die Alt-Verpflichtungen betreffen die Rechtslage nach dem bisherigen BDSG. Mit der DSGVO ändern sich jedoch die Datenschutzregeln, wenn auch nicht zu 100%. Soweit die Bestimmungen der DSGVO dem bisherigen BDSG entsprechen, ist davon auszugehen, dass die Alt-Verpflichtungen ausreichen. Hinsichtlich der Änderungen ist dies hingegen nicht der Fall. Es ist deshalb ratsam, zumindest ein Datenschutz-Update an die Beschäftigten zu versenden, das die wesentlichen Neuerungen der DSGVO enthält.


Verfasser: Rechtsanwalt Dr. Malte Kröger